一种基于模板的档案图像压缩新方法.doc

解决方案
政府外网优化设计实践

摘要:本文详细分析了政府外网应用特点,结合当前先进的网络技术和设备功能及其在管理工作中应用,描述了适用于政府各级部门外网的网络应用和安全管理典型设计实践。政府外网优化设计实践包括路由优化、互联网流量的分析检测管理、外网防火墙等等。通过应用先进的网络技术设备,能够对以上方面进行优化设计,从而满足业务应用要求,并提高网络管理维护水平。
关键词:外网流量控制虚拟防火墙
1 政府单位外网管理概述
政府应用对外网的整体要求
随着信息化的深入,政府单位在网络规划设计中普遍采用了层次化区域化设计思路,互联网访问区域(简称外网)。互联网相连的逻辑区域,和园区网的功能,通常包含外网路由器,防火墙以及其他安全设备。
外网的主要功能主要包括:
(1)路由功能。对外发布必要的路由条目,提供外界对内部的访问;的默认路由;并根据具体应用要求提供策略路由等高级路由服务功能。
(2)地址转换功能。通常,政府单位需对外提供有限制的服务,例如政务公开、门户网站等等公共服务,为了保障这些公开网站和服务的安全,有必要进行地址转换,将相关服务器的地址进行隐藏;同时,根据租用地址数量,内网访问外网也需要进行地址转换。
(3)防火墙功能。作为整个政府单位园区网络的第一道屏障,必须在外网部署防火墙功能;防火墙设备的性能需要参考外网带宽,以及应用要求(包括并发连接数以及每秒新建连接数指标等)
。
(4)流量监测及控制功能。首先是对流量的分析功能,提供对外网流量(至单位网络)的分析功能,为网络管理员和主管提供详细的网络流量报表,包括详细的流量图表,以及流量构成;另一方面,需要根据应用的要求对不同的流量进行策略限制。例如,在工作期间,限制同工作无关业务的流量,如视频点播和P2P下载等,从而保障办公业务和其他正常业务的开展。
(5)发布必要的路由条目,提供外界对内部的安全访问。充分利用带宽资源,在单位内部部署门户及相关业务网站,不仅便于维护,而且节省大量的托管费用。
以上是根据普遍的政府网络应用,归纳出的外网应具备的基本功能。根据各个单位的实际情况,具体的功能性能要求和侧重点会有所不同。
外网的传统设计思路和挑战
根据经典的层次化区域化设计思路,划分独立外网区域的观点已经被广泛的接收和认可。传统的设计思路因为受到当时网络设备技术和功能的限制,更多的强调性能满足应用,追求采用高性能设备,例如高吞吐量的防火墙以及高性能路由器,通过设备的简单堆砌,将防火墙和路由器进行连接,以实现外网的基本功能。
这样的设计能够粗略的满足以上提到的要求。但在复杂应用的背景下,对一些特定应用场景会有局限性,表现在:
(1)无法实现灵活的防火墙部署。传统设计强调单台防火墙的性能和端口数量;但随着应用的增多,以及对不同应用的不同策略要求,在单台固定端口数目的传统防火墙上很难实现灵活的端口设置(例如,临时添加DMZ区域)和策略配置(例如,对重要业务服务器提供单独的安全策略);通过添置采购新的防火墙可以缓解这样的矛盾,但造成网络设备投资成本增大,并提升了管理成本。
(2)无法实现精细的流量控制。传统设计强调对流量的分析,通过路由设备本身自带的流量统计功能(flow)对流量进行分析,然后通过对防火墙的端口进行限制,或者是在出口启用限速,甚至限制终端用